Kyverno SSRF 漏洞 (VU#655822) 漏洞概述 Kyverno 1.16.0 及更高版本在其 CEL 表达式 HTTP 函数(Get 和 Post)中存在服务器端请求伪造(SSRF)漏洞。该漏洞位于 API 组的命名空间策略类型所使用的 HTTP 函数中。 根本原因:Kyverno 的资源库会强制执行命名空间边界,但 CEL HTTP 库( )未执行任何 URL 验证或作用域限制——即没有黑名单、命名空间限制或目标检查。 影响范围 攻击向量:具有命名空间级别权限的已认证攻击者可创建恶意命名空间策略 攻击方式:发送内部 请求,将响应捕获到 CEL 变量中,并通过策略的 字段在准入拒绝响应中泄露 危害:由于请求源自具有特权网络可达性的 Kyverno 准入控制器 Pod,攻击者可: - 跨命名空间访问数据 - 访问内部集群服务 - 访问云元数据 API - 泄露敏感元数据或服务响应 修复方案 状态:无法联系到厂商协调修复,暂无补丁,仅提供缓解措施 缓解建议: 1. 在 Kyverno 的 CEL HTTP 库中实施严格的 URL 验证和目标控制 2. 阻止访问链路本地和云元数据地址范围 3. 将出站请求限制为批准的集群内服务 4. 为管理员提供可配置的允许列表 5. 对 Kyverno 准入控制器 Pod 应用默认拒绝网络策略,防止未经授权的出站流量 --- CVE ID: CVE-2026-4789 公开日期: 2026-03-30 发现者: Igor Stepanasky (Orca Security Research Pod)